Ayuda bloquear apps de VPN



  • Hola!

    En mi red hay usuarios que usan clientes VPN para saltarse el filtro de contenidos. Un ejemplo es la aplicación Hexatech para iOS. ¿Cómo puedo identificar las direcciones IP de destino o el puerto que utiliza para poder bloquearla? (en cuanto se activa deja de verse el tráfico del dispositivo en el access.log).

    Saludos!



  • Saludos mi estimado

    esto es un tema de san google https://support.apple.com/es-es/HT202944 alli aparece puertos utilizados por la app

    En todo caso con reglas claras en pfsense podria manejar la situacion y bloquear como desee, usted tiene el montruo con el cual puede hacerlo sin problemas.

    Quedo atento



  • @amnarl:

    Saludos mi estimado

    esto es un tema de san google https://support.apple.com/es-es/HT202944 alli aparece puertos utilizados por la app

    En todo caso con reglas claras en pfsense podria manejar la situacion y bloquear como desee, usted tiene el montruo con el cual puede hacerlo sin problemas.

    Quedo atento

    Hola, gracias por la respuesta pero esos puertos son para servicios y aplicaciones nativas de Apple, las aplicaciones que no son de Apple utilizan otros puertos.

    En otros casos no he tenido problemas para identificar y bloquear un puerto o IP concreta que utiliza una aplicación (buscando en Google). Pero con la aplicación Hexatech VPN (de Betternet) estoy teniendo dificultades ya que las informaciones son vagas y contradictorias.

    Así que de ahí mi consulta: me gustaría poder depurarlo yo mismo e identificar las variables necesarias para poder realizar el bloqueo (y de paso aprender los pasos a seguir y que me sirva en el futuro). Supongo que de algún modo podré monitorizar el tráfico del dispositivo y comprobar las conexiones que hace cuando activo/desactivo la aplicación y así poder establecer las reglas correspondientes, pero con mis conocimientos de novato solo llego a mirar el access.log, en el cual no aparece el tráfico una vez se activa _Hexatech VPN. Así que agradecería cualquier indicación o consejo de los pasos a seguir.

    Saludos!



  • Hola

    Para bloquear aplicaciones que no sabemos sus dominios y su rango de servidores (IPs, subredes) y que sus puertos pueden ser estandar (tcp80, tcp443, etc) , no queda más remedio que bloquear ya sea por block listas IPv4 actualizables ( pfBlockerNG ) o mediante un IDS/IPS ( Snort, Suricata, etc)

    Por ejemplo con Snort:
    http://www.javcasta.com/pfsense-snort-y-openappidbloquear-protocolos-de-capa-7-openvpnfacebooktwitter/

    Salu2



  • Hola javcasta, como siempre mil gracias.

    Estoy estudiando implementar la solución IDS/IPS tal y como leí en tu blog, el problema es que mi servidor está en producción y de momento no puedo trabajar sobre él.

    Entre tanto, ¿cómo puedo identificar las conexiones que realiza el dispositivo cuando utiliza la app de VPN? Aunque sea para ir tirando, estaría genial poder ir bloqueando las IP destino en el Firewall.

    He visto este post pero no logro bloquearlo con las IP que se mencionan: https://forum.pfsense.org/index.php?topic=101568.15

    Salu2



  • Hola

    Instala esa app de vpn en un cliente de la lan y monitoriza sus conexiones (ya sea con un sniffer como wireshark o mirando vía shell las conexiones … netstat ...)

    Salu2



  • Hola,

    Monitorizar las conexiones es justo lo que quiero hacer pero desde el dispositivo (es un iPad) no se puede porque no tiene apps de sniffer y desde el pfSense no sé cómo hacerlo (en el access.log de Squid deja de aparecer el tráfico cuando se activa la VPN y en el filter.log no logro filtrar por el dispositivo en cuestión).

    Siento ser tan pesado, seguro que es una tontería pero no doy con ello.

    Saludos!



  • Hola

    Puedes usar en pfSense:  Diagnostics > Packet Capture (especifica en Host Address la IP en cidr anotación, del Iphone)

    O vía shell tcpdump (sniffer).

    Salu2



  • Buenas,

    Tras un tiempo he podido retomar el asunto. He instalado un pfSense en un entorno de pruebas para intentar el bloqueo mediante Snort y OpenAppID. El problema es que las aplicaciones que quiero bloquear, en app-stats.log, aparecen como "_unknown". ¿Cómo tendría que hacerlo para identificar una de esas app y bloquearla?

    Salu2